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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren bzw. eine 
Vorrichtung zum Verarbeiten von Daten. Im Rahmen ub- 
licher Datenverarbeitung werden heutzutage zuneh- 5 
mend Sicherheitsaspekte relevant, da zunehmend ver- 
sucht wird, unerlaubt Daten aus Datenverarbeitungsan- 
lagen zu erhalten. Um die zu verhindern werden zuneh- 
mend kryptographische Verfahren angewandt, bei de- 
nen zu schiitzende Daten verschlusselt werden. Hierzu 10 
wird unter anderem beispielsweise das "Public-Key- 
Verfahren" verwendet, bei dem jeder Teilnehmer eines 
Systems ein Schlusselpaar besitzt, das aus einem ge- 
heimen Schlusselteil und einem offentlichen Schlussel- 
teil besteht. Die Sicherheit der Teilnehmer beruht nun *5 
darauf, dali der geheime Schlusselteil Unbefugten nicht 
bekannt ist. Die Ausfuhrung eines derartigen Verfah- 
rens geschieht hSufig in einer besonders gesicherten 
Komponente, wie beispielsweise einer Chipkarte aber 
auch in einem einmal in ein Gerat eingesetzten etektro- 20 
nischen Schaltkreis - auch als IC bekannt in denen 
dann das Verfahren selbst realisiert ist. Somit braucht 
der geheime Teil des Schlussels diese gesicherte Kom- 
ponente nicht zu verlassen. 

[0002] Neuerdings sind jedoch Angriffe bekannt ge- 25 
worden, bei denen versucht wird, den Schlussel in der 
gesicherten Komponente auszuspahen. Dies soil bei- 
spielsweise durch Messung des Stromverbrauchs der 
gesicherten Komponente ermoglicht werden. Durch das 
haufig wiederholte Beobachten des Stromverlaufs und 30 
bei dem Bekannt sein wie der Verschlusselungsvorgang 
durchgefuhrt ist, ist es schliefilich moglich, Ruckschlus- 
se auf den Schlussel zu Ziehen. 
[0003] Aus der US 4932053A ist ein Verfahren be- 
kannt, bei dem durch einen Zufallsgenerator angesteu- 35 
ert Speicherzellen in Abhangigkeit der vom Zufallgene- 
rator abgegebenen Daten betrieben werden. Da der 
Stromverbrauch der Speicherzellen von seiner An- 
steuerung abhangig ist, ist der Stromverbrauch der Ge- 
samtanordnung durch den zufallig verteilten Stromver- 40 
brauch der Speicherzellen insgesamt durch den Zufall 
bestimmt. 

[0004] Der Erfindung liegt daher die Aufgabe zugrun- 
de, ein Verfahren zum Verschltisseln bzw. eine Vorrich- 
tung vorzusehen, bei der eine erhbhte Sicherheit vor 45 
dem Ausspahen eines geheimen Schlusseilwortes ge- 
geben ist. 

[0005] Diese Aufgabe wird erfindungsgemafl mit den 
Maftnahmen bzw. Mitteln gemafc Patentanspruch 1 
bzw. Patentanspruch 4 geldst. so 
[0006] Dadurch, dafi Verschlusselungs- bzw. Ent- 
schlCisselungsverfahren so gesteuert bzw. Operationen 
begleitend zu diesem Verfahren gesteuert werden, daft 
sich auch bei einer haufig wiederholten Messung von 
von aufien zuganglichen Parametern, wie beispielswei- 55 
se dem Stromverbrauch, keine Ruckschlusse auf den 
verwendeten Schlussel Ziehen lassen. 
[0007] Weitere vorteilhafte Ausgestaltungen der Er- 



findung sind in den Unteranspruchen angegeben. 
Nachfolgend wird die Erfindung unter Bezugnahme auf 
die Zeichnung anhand von Ausfuhrungsbeispielen er- 
lautert. 

[0008] Hierbei zeigen: 

Fig. 1 ein erstes Ausfuhrungsbeispiel einer erfin- 
dungsgemafien Vorrichtung, 

Fig. 2 ein zweites Ausfuhrungsbeispiel einer erfin- 
dungsgemafien Vorrichtung, anhand der auch 
das erfindungsgemafte Verfahren erlautert 
wird und 

Fig. 3 ein drittes Ausfuhrungsbeispiel 

[0009] Mit 1 , 2 ist eine zu schiitzende Schaltung, die 
beispielsweise aus einem Mikrocontroler 2 und einem 
Rechenwerk 1 besteht, bezeichnet. Der Mikrocontroler 

2 steuert dabei das Rechenwerk 1 , in dem beispielswei- 
se ein Verschlusselungsvorgang durchgefuhrt wird. 
Dieser zu schutzenden Anordnung wird nunmehr ein 
Strom I zugefuhrt, der mittels einer Mefceinrichtung 7 
detektierbar ist, wodurch Ruckschlusse auf die Vorgan- 
ge in der zu schutzenden Schaltung 1 , 2 gezogen wer- 
den sollen. Es ist nunmehr eine zusatzliche Schaltungs- 
einrichtung 6 vorgesehen, die uber einen Zufallsgene- 
rator 3 gesteuert wird. Dieser Zufallsgenerator kann bei- 
spielsweise als ein Sequenzgenerator in Form eines li- 
near ruckgekoppelten Schieberegisters ausgefuhrt 
sein, welches mit einem Startwert geladen, eine pseu- 
dozufallige Folge - Nullen und Einsen - erzeugt. Hierbei 
kann der Startwert entweder zufallig erzeugt sein oder 
von der Steuereinrichtung beispielsweise auf Basis des 
Schlusselwortes generiert werden, auch ist eine Kom- 
bination beider Moglichkeiten denkbar. Die somit vom 
Zufallsgenerator erzeugte Sequenz steuert nunmehr 
Schalter S in derzusatzlichen Schaltungseinrichtung 6, 
so dafi Kondensatoren, die mit den Schaltern S in Reihe 
liegen, entsprechend der jeweils gerade erzeugten Zu- 
fallsfolge geladen werden. Auf diese Weise wird der 
Stromverbrauch der zu schutzenden Schaltung 1, 2 
durch die zusatzliche Schaltungseinrichtung 6, namlich 
dem Ladestrom der Kondensatoren, verschleiert. Um 
den Gesamtstromverbrauch dieser Einrichtung zu mini- 
mieren, ist es nicht notwendig, dafi die zusatzliche 
Schaltungseinrichtung 6 fortwShrend einen Beitrag zum 
Stromverbrauch liefert. Sie kann vielmehr darauf be- 
schrankt werden, nur in derZeit wahrend des Verschlus- 
selns bzw. Entschlusselns zu arbeiten. 

[0010] Fig. 2 zeigt ein weiteres erfindungsgemalies 
Ausfuhrungsbeispiel. Hierbei liegt das Rechenwerk 1 
und die Steuerungseinrichtung 2, der Zufallsgenerator 

3 und eine Speichereinrichtung 5 an einem gemeinsa- 
men Bus 4, der von extern mittels einer Schnittstelle 9 
zuganglich ist. Ober die Schnittstelle 9 werden bei- 
spielsweise zu verschlusselnde bzw. zu entschlusseln- 
de Daten zugefuhrt. In der Speichervorrichtung 5 ist ein 
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geheimes Schlusselwort gespeichert, das gesteuert 
von der Steuereinrichtung 2 dem Rechenwerk 1 zuge- 
fuhrt wird, um die uber die Schnittstelle 9 vom Datenbus 
zugefuhrten Daten zu verschlusseln bzw. zu entschlus- 
seln. Der Zufallsgenerator 3 erzeugt nunmehr eine Zu- 
fallszahl, die der Steuereinrichtung 2 zugefuhrt wird, die 
nunmehr auf Grundlage dieser Zufallszahl das Rechen- 
werk 1 steuert. Hierbei sind nunmehr zwei Moglichkei- 
ten denkbar. 

[0011] Das Rechenwerk 1 wird auf Grundlage der Zu- 
fallszahl durch die Steuereinrichtung 2 so gesteuert, 
daft der Verschlusselungsoder Entschlusselungsalgo- 
rithmus der jeweiligen Zufallszahl entsprechend modu- 
liert wird. Das bedeutet, es erfolgen somit im Verschlus- 
selungs- bzw. Entschlusselungsalgorithmus Rechen- 
operartionen, die ohne abschlieftende Auswirkung auf 
die Verschlusselung bzw. EntschlQsselung, mit zufaili- 
gen Werten arbeiten. 

[0012] Nachfolgend werden Beispiele fur die Variatio- 
nen des Verschlusselungs- bzw. Entschlusselungsalgo- 
rithmus beschrieben. 

[0013] Ein bekanntes Verfahren ist das sogenannte 
RSA-Verfahren. Es arbeitet in der Gruppe teile fremder 
Restklassen modulo N und setzt die Exponentiationen 
aus Multiplikationen modulo N zusammen. Die Varian- 
ten dieser Protokolle fur elliptische Kurven modulo p be- 
sitzen aus modularen Additionen und Multiplikationen 
zusammengesetzte Grundoperationen, sogenannte 
Additionen und Verdoppelungen in der Punktgruppe der 
elliptischen Kurven, die ihrerseits zur Exponentiation 
zusammengesetzt werden. Die dritte grofte Gruppe be- 
steht aus elliptischen Kurven uber endlichen Korpern, 
deren Elementezahlen eine Primzahlpotenz, die haufig 
eine Potenz von 2 ist. Diese Strukturen werden gemein- 
hin als GF(p n ) bezeichnet. Die Basisarithmetik in diesen 
Korpern kann durchgefuhrt werden, indem man die Kor- 
perelemente als Polynome mit Koeffizienten aus dem 
Grundkorper GF(p) oder einem geeigneten Zwischen- 
korper darstellt, die durch Multiplikationen modulo ei- 
nem festen Korperpolynom miteinander verknupft so- 
wie koeffizientenweise addiert werden. In diesem Sinne 
lassen sich Operationen in GF(p n ) bzw. in elliptischen 
Kurven uber diesen Kbrper als modulare Rechenopera- 
tion auffassen. Dabei sind die nachfolgenden drei, dem 
erfindungsgemalien Verfahren entsprechende Variati- 
onsmoglichkeiten moglich. 

aj Der Modul N wird durch r*N ersetzt, wobei r eine 
von 0 verschiedene Zufallszahl ist. Im GF(p n )-Fail 
wird das Korperpolynom durch sein Produkt mit ei- 
nem zufallig gewahlten von 0 verschiedenen Poly- 
nom ersetzt. Dieser Schritt ist vor Eintritt in die 
Rechnung oder einem Teilschritt durchzufuhren 
und nachfolgend durch eine Reduktion des Ergeb- 
nisses bzw. Teilergebnis modulo N zu kompensie- 
ren. 

b) Ein Eingangsparameter X einer modularen Re- 
chenoperation wird durch den Wert X + s*N ersetzt, 



wobei s eine Zufallszahl ist. Dies kann in verschie- 
denen Rechenschritten durchgefuhrt werden. Auch 
eine entsprechende Veranderung mehrerer Ein- 
gangsparameter der selben Operation ist moglich. 

5 c) Die Exponenten E werden durch E + t*q ersetzt, 
wobei t eine Zufallszahl und q die sogenannte Ord- 
nung der Basis der auszufiihrenden Exponentiati- 
on, oder ein geeignetes Vielfaches davon, ist. Po- 
tentielie Werte von q lassen sich haufig aus den Sy- 

10 stemparametem ableiten. So kann man fur die Ex- 
ponentiation modulo N q=(p (N) und fur elektrische 
Kurven q als die Anzahl der Punkte dieser Kurve 
wahlen, wobei haufig noch bessere Wahlm6glich- 
keiten gegeben sind. 

[0014] Eine weitere Moglichkeit besteht darin, daft al- 
ternative, gleichwertige Verschlusselungs- bzw. Ent- 
schlusselungsalgorithmen im Rechenwerk 1 durchfuhr- 
bar sind, die gemali der zugefuhrten Zufallszahl zufallig 

20 ausgewahlt werden. 

[0015] Bei der zuvor beschriebenen Modulation des 
Verschlusselungs- bzw. Entschlusselungsalgorithmus 
wird nicht nur der Stromverbrauch der Anordnung durch 
die Zufallszahl verandert, sondern ebenfalls die beno- 

25 tigte Rechenzeit. Auch diese kann als Meligrdlie Ruck- 
schlusse auf den Geheimschlussel geben. Gleiches gilt 
fur die zufailsgesteuerte Auswahl der aquivalenten Re- 
chenoperationen. 

[0016] Eine dritte Moglichkeit ist darin zu sehen, dad 
30 ahnlich dem Ausfuhrungsbeispiel nach Fig. 1 eine zu- 
satzliche Schaltungseinheit 6 vorgesehen ist gestrichelt 
dargestellt), die ebenfalls mit der Zufuhreinrichtung 4 
verbunden ist. Die Steuereinrichtung 2 steuert nunmehr 
die zusatzliche Schaltungseinrichtung 6 gemali einer 
35 vom Zufallsgenerator 3 uber die Zufuhreinrichtung 4 zu- 
gefuhrten Zufallszahl. Eine Anlayse des Stromver- 
brauchs der dargestellten Gesamtanordnung ist somit 
nicht durch den Betrieb im Rechenwerk 1 ailein be- 
stimmt sondern ebenfalls durch einen zufallig gesteuer- 
40 ten Stromverbrauch der zusatzlichen Schaltungsein- 
heit. 

[0017] Zusatzlich sei darauf hingewiesen, daft auch 
die Kombination von Modulation des jeweiligen Algorith- 
mus mit einer zusatzlichen Schaltungseinheit 6 im 

45 "Dummy-Betrieb" sinnvoll ist. 

[0018] Fig. 3 zeigt ein drittes erfindungsgemalies 
Ausfuhrungsbeispiel. Hierbei wird der Steuereinrich- 
tung 2, in Form einer CPU uber Datenanschlud D Daten 
zugefuhrt. Gleichzeitig wird der "Wa it-State- Anschlufc" 

50 WS mit einem Zufallsgenerator 3 verbunden. Dieser Zu- 
fallsgenerator 3 erzeugt nunmehr in zufalliger Folge 
"Einsen" M Nullen". Entsprechend der Programmierung 
wird nunmehr immer dann wenn eine "1" oder M 0" am 
Eingang anliegt, der Betrieb der CPU gestoppt oder wie- 

55 der aufgenommen. Dies fuhrt dazu, daft der Betrieb der 
CPU zwar noch synchron zu einem nicht dargestellten 
Taktgenerator arbeitet, jedoch keine einheitlicnen Ver- 
arbeitungszyklen mehr aufweist. Da auf diese Weise 
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kein fester einheitlicher Rahmen mehr vorliegt, sind 
durch Beobachtung der CPU deren Arbeitsvorgange 
nicht mehr ohne weiteres nachvollziehbar und nur sehr 
erschwert analysierbar. Dies bedeutet, daft die in der 
CPU abzuarbeitenden Vorgange "verrauschr sind. Um 
die Handhabbarkeit einer solchen Anordnung zu stei- 
gern, kann der Zufallsgenerator 3 so programmiert wer- 
den, daft festlegbar ist, in welchem zeitlichen Rahmen 
eine Verarbeitung maximal ablauft. Dies ist unter ande- 
rem dafiir notwendig, um festzustellen, ob das System 
insgesamt ausgefallen ist. 

[0019] Es erscheint besonders sinnvoll eine Anord- 
nung gemSft Fig. 3 mit einer Anordnung gemaft Fig. 1 
Oder 2 oder mit beiden zu kombinieren um somit bei- 
spielsweise die Analyse der Bearbeitung eines Gesamt- 
systems zu erschweren. 



Patentanspriiche 

1 . Datenverarbeitungsverfahren, bei dem in einer Ver- 
arbeitungseinheit (1,2) uber eine Datenleitung zu- 
gefuhrte Daten verarbeitet werden, ein Zusatzsi- 
gnal der Verarbeitungseinheit zugefuhrt wird, 

bei dem die Verarbeitung in Abhangigkeit vom Zu- 
satzsignal erfolgt.und 

bei dem das Zusatzsignal von den zugefiihrten Da- 
ten und dem Betrieb der Verarbeitungseinheit un- 
abhangig ist und durch einen Zufallsgenerator ge- 
steuert ist. 

2. Datenverarbeitungsverfahren nach Anspruch 1 , bei 
dem an einer geeigneten Stelle ein Operand mit der 
Zufallszahl beaufschlagt ist und an einer weiteren 
geeigneten Stelle ein entsprechender Kompensati- 
onsoperand mit der gleichen Zufallszahl beauf- 
schlagt ist. 
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5. Vorrichtung nach Anspruch 4, bei der mit der Steu- 
ereinrichtung (2) eine Hilfsschaltung (6) verbunden 
ist, die von der Steuereinrichtung (2) auf Basis des 
von dem Zufallsgenerator (3) zugefuhrten Aus- 

5 gangssignal gesteuert wird. 

6. Vorrichtung nach Anspruch 5, bei der die Hilfsschal- 
tung eine Kapazitat aufweist, die gema*ft dem Aus- 
gangssignal des Zufallsgenerators umgeladen 

10 wird. 



Claims 

15 1. Data processing method, in which, in a processing 
unit (1 ,2) data fed in via a data line are processed, 
an additional signal is fed to the processing unit, in 
which the processing is carried out in dependence 
on the additional signal, and in which the additional 
20 signal is independent of the data fed and the oper- 
ation of the processing unit and is controlled by a 
random number generator. 

2. Data processing method according to Claim 1, in 
25 which a random number is applied to an operand at 
a suitable position and the same random number is 
applied to a corresponding compensation operand 
at a further suitable position. 



30 3. Data processing method according to Claim 1, in 
which the processing of the data is composed of a 
plurality of individual steps which are selected from 
a plurality of alternatives [sic] equivalent individual 
steps, and/or comprises a plurality of alterable indi- 

35 vidual steps to be processed sequentially, the se- 
lection and/or the processing being carried out on 
the basis of the additional signal. 
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3. Datenverarbeitungsverfahren nach Anspruch 1 , bei 
dem die Verarbeitung der Daten aus mehreren Ein- *o 
zelschritten zusammengesetzt ist, die aus mehre- 
ren Alternativen gleichwertigen Einzelschritten aus- 
gewahlt sind, und/oder aus mehreren sequentieli 
abzuarbeitenden veranderbaren Einzelschritten 
besteht, wobei die Auswahl und/oder die Verande- 45 
rungauf Grundlage des Zusatzsignals erfolgt. 

4. Vorrichtung zum Durchfuhren des Verfahrens nach 
Anspruch 1, mit einer Recheneinrichtung (1), der 
Daten mitteis einer Zufuhrvorrichtung (4) zugefuhrt 50 
werden, und einem Zufallsgenerator (3), und einer 
Steuervorrichtung (2), die die Recheneinrichtung 
steuert, wobei ein Ausgangssignal des Zufallsge- 
nerators (3) die Steuereinrichtung (2) und/oder und 

die Recheneinrichtung (1 ) so beeinfluftt, daft deren 55 
Betriebsablauf durch das Ausgangssignal des Zu- 
fallsgenerators bestimmt ist. 



4. Apparatus for carrying out the method according to 
Claim 1, having a computing device (1), to which 
data are fed by means of a feeding apparatus (4), 
and having a random number generator (3), and 
having a control apparatus (2), which controls the 
computing device, an output signal of the random 
number generator (3) influencing the control device 
(2) and/or and [sic] the computing device (1) such 
that the operating sequence thereof is determined 
by the output signal of the random number genera- 
tor. 

5. Apparatus according to Claim 4, in which an auxil- 
iary circuit (6) is connected to the control device (2) 
and is controlled by the control device (2) on the 
basis of the output signal fed from the random 
number generator (3). 

6. Apparatus according to Claim 5, in which the auxil- 
iary circuit has a capacitance which is subjected to 
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charge reversal in accordance with the output sig- 
nal of the random number generator. 



Revendications 5 

1. Procede de traitement de donnees, dans lequel 

on traite dans une unite de traitement de don- 
nees (1,2) des donnees envoyees par I'intermediai- 
re d'une ligne de donnees, 10 

on envoie un signal supplemental a Tunite 
de traitement, 

on effectue le traitement en fonction du signal 
supplementaire, et 

le signal supplementaire depend des don- *5 
nees envoyees et du fonctionnement de Punite de 
traitement et il est commande par un generateur 
aleatoire. 

2. Procede de traitement de donnees selon la reven- 20 
dication 1, dans lequel, a un endroit approprie, un 
operande recoit le nombre aleatoire et, a un autre 
endroit approprie, un operande de compensation 
correspondant recoit le meme nombre aleatoire. 

25 

3. Procede de traitement de donnees selon la reven- 
dication 1 , dans lequel le traitement des donnees 
est compose de plusieurs etapes individuelles, qui 
sont selectionnees a partir de plusieurs variantes 
d'etapes individuelles equivalentes, et/ou de plu- 30 
sieurs etapes individuelles modifiables a traiter se- 
quentiellement, la selection et/ou la modification 
s'effectuant sur la base du signal supplementaire. 

4. Dispositif pour la mise en oeuvre du procede selon 35 
!a revendication 1, avec un dispositif de calcul (1) 
auquel des donnees sont envoyees au moyen d'un 
dispositif d'alimentation (4), avec un generateur 
aleatoire (3) et avec un dispositif de commande (2) 

qui commande le dispositif de calcul, un signal de *o 
sortie du generateur aleatoire (3) influengant le dis- 
positif de commande (2) et/ou le dispositif de calcul 
(1) de telle sorte que le deroulement de I'execution 
est determine par le signal de sortie du generateur 
aleatoire. 45 

5. Dispositif selon la revendication 4, dans lequel le 
dispositif de commande (2) est relie a un circuit 
auxiliaire (6) qui est commande par le dispositif de 
commande (2) sur la base du signal de sortie en- 50 
voye par le generateur aleatoire (3). 

6. Dispositif selon la revendication 5, dans lequel le 
circuit auxiliaire comporte une capacite qui est char- 
gee selon le signal de sortie du generateur aleatoi- 55 
re. 
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